华为云用户手册

查看组织合规规则 组织合规规则添加完成后，您可以查看该组织合规规则的详情。 使用创建组织合规规则的组织账号登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 选择“组织规则”页签，单击规则列表下的具体规则名。 图1 查看组织合规规则 进入“规则详情页”，页面左侧显示此规则作用的成员账号列表和部署状态以及排除账号列表，页面右侧显示合规规则详情。 创建组织合规规则的组织账号只能看到自己添加的组织合规规则，无法看到组织内其他账号添加的组织合规规则。

查看部署至成员账号中的组织合规规则 当组织资源合规规则部署成功后，会在组织内成员账号的规则列表中显示此组织合规规则。且该组织合规规则的修改和删除操作只能由创建规则的组织账号进行，组织内的其他账号只能触发规则评估和查看规则评估结果以及详情。 以组织成员账号登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 在“规则”页签下，单击合规规则列表中的某个具体组织合规规则名称，进入“规则详情页”。 页面左侧为合规规则评估结果，页面左侧为合规规则详情。 图2 查看部署至成员账号中的组织合规规则 当组织合规规则部署成功后，会在组织内成员账号的规则列表中显示此组织合规规则，系统将自动在规则名称前添加“Org-”字段。 组织内的成员账号只能触发此规则的评估和查看规则评估结果以及详情，不支持修改、停用和删除规则的操作。

适用于弹性伸缩（AS）的最佳实践 该示例模板中对应的合规规则的说明和修复项指导如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 说明指导 规则描述 修复项指导 as-capacity-rebalancing 弹性伸缩组均衡扩容 as EQUILIBRIUM_DISTRIBUTE（默认）：均衡分布，虚拟机扩缩容时优先保证available_zones列表中各AZ下虚拟机数量均衡，当无法在目标AZ下完成虚拟机扩容时，按照PICK_FIRST原则选择其他可用AZ。 弹性伸缩组扩缩容时，没有使用‘EQUILIBRIUM_DISTRIBUTE’优先级策略，视为“不合规” 用户可以将伸缩组扩缩容时目标AZ选择的优先级策略设置为EQUILIBRIUM_DISTRIBUTE。 as-group-elb-healthcheck-required 弹性伸缩组使用弹性负载均衡健康检查 as 根据ELB对云服务器的健康检查结果进行的检查，健康检查会将异常的实例从伸缩组中移除。这条规则确保与负载均衡器关联的伸缩组使用了弹性负载均衡健康检查。 与负载均衡器关联的伸缩组未使用弹性负载均衡健康检查，视为“不合规” 如果您将多个负载均衡器添加到伸缩组，则只有在所有负载均衡器均检测到云服务器状态为正常的情况下，才会认为该弹性云服务器正常。否则只要有一个负载均衡器检测到云服务器状态异常，伸缩组会将该弹性云服务器移出伸缩组。 as-multiple-az 弹性伸缩组启用多AZ部署 as 一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 弹性伸缩组没有启用多AZ部署，视为“不合规” 华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。 父主题： 合规规则包示例模板

默认规则 此表中的建议项编号对应PCI DSS: v3.2.1中参考文档的章节编号，供您查阅参考。 表1 适用于适用于PCI-DSS的标准合规包默认规则说明 建议项编号 建议项说明 合规规则 指导说明 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 function-graph-inside-vpc 确保函数工作流（FunctionGraph）的所有流量都安全地位于虚拟私有云（VPC）中。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 mrs-cluster-no-public-ip 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（22）端口时认为不合规，确保对服务器的远程访问安全性。 2.1 在网络上安装系统之前，请务必更改供应商提供的默认值，并删除或禁用不必要的默认账号。这适用于所有默认密码，包括但不限于操作系统、提供安全服务的软件、应用程序和系统账号、销售点（POS）终端、支付应用程序、简单网络管理协议（SNMP）社区字符串等使用的密码。 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 2.1 在网络上安装系统之前，请务必更改供应商提供的默认值，并删除或禁用不必要的默认账号。这适用于所有默认密码，包括但不限于操作系统、提供安全服务的软件、应用程序和系统账号、销售点（POS）终端、支付应用程序、简单网络管理协议（SNMP）社区字符串等使用的密码。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 access-keys-rotated 确保根据组织策略轮换IAM访问密钥，这缩短了访问密钥处于活动状态的时间，并在密钥被泄露时减少业务影响。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 access-keys-rotated 确保根据组织策略轮换IAM访问密钥，这缩短了访问密钥处于活动状态的时间，并在密钥被泄露时减少业务影响。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 cts-kms-encrypted-check 确保云审计服务（CTS）的追踪器已配置KMS加密存储用于归档的审计事件。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 cts-lts-enable 确保使用云日志服务（LTS）集中收集云审计服务（CTS）的数据。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 cts-support-validate-check 确保云审计服务（CTS）追踪器已打开事件文件校验，已避免日志文件存储后被修改、删除。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 ecs-in-allowed-security-groups 安全组为具有相同安全保护需求并相互信任的云服务器提供访问策略。当云服务器加入该安全组后，即受到安全组内用户定义的访问规则的保护。确保特定ECS实例关联高危安全组，保证安全组的性能。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 ecs-multiple-public-ip-check 此规则检查您的华为云ECS实例是否具有多个公网IP。拥有多个公网IP可能会增加网络安全的复杂性。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 iam-policy-no-statements-with-admin-access 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 iam-root-access-key-check 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 iam-user-group-membership-check 确保用户至少是一个组的成员，帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限，可能会违反最小权限和职责分离的原则。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 kms-rotation-enabled 确保数据加密服务（KMS）密钥启用密钥轮换。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 volumes-encrypted-check 由于敏感数据可能存在并帮助保护静态数据，因此请确保为华为云ElasticVolumeService（华为云EVS）卷启用加密。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 vpc-flow-logs-enabled VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（23）端口时认为不合规，确保对服务器的远程访问安全性。 2.3 使用强加密技术对所有非控制台管理访问进行加密。 apig-instances-ssl-enabled 确保使用SSL证书配置华为云API Gateway REST API阶段，以允许后端系统对来自API Gateway的请求进行身份验证。 2.3 使用强加密技术对所有非控制台管理访问进行加密。 css-cluster-https-required 开启HTTPS访问后，访问集群将进行通讯加密。关闭HTTPS访问后，会使用HTTP协议与集群通信，无法保证数据安全性，并且无法开启公网访问功能。 2.3 使用强加密技术对所有非控制台管理访问进行加密。 dws-enable-ssl 确保数据仓库服务需要SSL加密才能连接到数据库客户端。由于敏感数据可能存在，因此在传输过程中启用加密以帮助保护该数据。 2.3 使用强加密技术对所有非控制台管理访问进行加密。 elb-tls-https-listeners-only 确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据，因此启用传输中加密有助于保护该数据。 2.4 维护PCIDSS范围内的系统组件清单。 ecs-in-allowed-security-groups 安全组为具有相同安全保护需求并相互信任的云服务器提供访问策略。当云服务器加入该安全组后，即受到安全组内用户定义的访问规则的保护。确保特定ECS实例关联高危安全组，保证安全组的性能。 2.4 维护PCIDSS范围内的系统组件清单。 eip-unbound-check 确保弹性公网IP未闲置。 2.4 维护PCIDSS范围内的系统组件清单。 eip-use-in-specified-days 确保弹性公网IP未闲置。 2.4 维护PCIDSS范围内的系统组件清单。 vpc-acl-unused-check 网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出入子网的网络流量。此规则可确保现存网络ACL均与子网关联，实现对子网的防护。 3.4 使用以下任一方法使PAN在存储的任何位置（包括便携式数字媒体、备份媒体和日志中）都不可读：基于强加密的单向哈希，（哈希必须是整个PAN的哈希）截断（哈希不能用于替换PAN的截断段）索引令牌和垫子（垫子必须安全存放）具有相关密钥管理流程和程序的强加密技术。注意：如果恶意个人可以访问PAN的截断版本和散列版本，则重建原始PAN数据是一项相对微不足道的工作。如果实体环境中存在同一PAN的哈希和截断版本，则必须实施其他控制措施，以确保哈希和截断版本无法关联以重建原始PAN。 cts-kms-encrypted-check 确保云审计服务（CTS）的追踪器已配置KMS加密存储用于归档的审计事件。 3.4 使用以下任一方法使PAN在存储的任何位置（包括便携式数字媒体、备份媒体和日志中）都不可读：基于强加密的单向哈希，（哈希必须是整个PAN的哈希）截断（哈希不能用于替换PAN的截断段）索引令牌和垫子（垫子必须安全存放）具有相关密钥管理流程和程序的强加密技术。注意：如果恶意个人可以访问PAN的截断版本和散列版本，则重建原始PAN数据是一项相对微不足道的工作。如果实体环境中存在同一PAN的哈希和截断版本，则必须实施其他控制措施，以确保哈希和截断版本无法关联以重建原始PAN。 rds-instances-enable-kms 为了帮助保护静态数据，请确保为您的华为云RDS实例启用加密。由于敏感数据可以静态存在于华为云RDS实例中，因此启用静态加密有助于保护该数据。 3.4 使用以下任一方法使PAN在存储的任何位置（包括便携式数字媒体、备份媒体和日志中）都不可读：基于强加密的单向哈希，（哈希必须是整个PAN的哈希）截断（哈希不能用于替换PAN的截断段）索引令牌和垫子（垫子必须安全存放）具有相关密钥管理流程和程序的强加密技术。注意：如果恶意个人可以访问PAN的截断版本和散列版本，则重建原始PAN数据是一项相对微不足道的工作。如果实体环境中存在同一PAN的哈希和截断版本，则必须实施其他控制措施，以确保哈希和截断版本无法关联以重建原始PAN。 sfsturbo-encrypted-check 由于敏感数据可能存在并帮助保护静态数据，确保弹性文件服务（SFSTurbo）已通过KMS进行加密。 3.4 使用以下任一方法使PAN在存储的任何位置（包括便携式数字媒体、备份媒体和日志中）都不可读：基于强加密的单向哈希，（哈希必须是整个PAN的哈希）截断（哈希不能用于替换PAN的截断段）索引令牌和垫子（垫子必须安全存放）具有相关密钥管理流程和程序的强加密技术。注意：如果恶意个人可以访问PAN的截断版本和散列版本，则重建原始PAN数据是一项相对微不足道的工作。如果实体环境中存在同一PAN的哈希和截断版本，则必须实施其他控制措施，以确保哈希和截断版本无法关联以重建原始PAN。 volumes-encrypted-check 由于敏感数据可能存在，为了帮助保护静态数据，确保已挂载的云硬盘已进行加密。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（CDMA）通用分组无线业务（GPRS）卫星通信 apig-instances-ssl-enabled 确保使用SSL证书配置华为云API Gateway REST API阶段，以允许后端系统对来自API Gateway的请求进行身份验证。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（CDMA）通用分组无线业务（GPRS）卫星通信 css-cluster-disk-encryption-check 确保CSS集群开启磁盘加密。由于敏感数据可能存在，请在传输中启用加密以帮助保护该数据。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（CDMA）通用分组无线业务（GPRS）卫星通信 css-cluster-disk-encryption-check 确保CSS集群开启磁盘加密。由于敏感数据可能存在，请在传输中启用加密以帮助保护该数据。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（CDMA）通用分组无线业务（GPRS）卫星通信 css-cluster-https-required 开启HTTPS访问后，访问集群将进行通讯加密。关闭HTTPS访问后，会使用HTTP协议与集群通信，无法保证数据安全性，并且无法开启公网访问功能。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（CDMA）通用分组无线业务（GPRS）卫星通信 dws-enable-ssl 确保数据仓库服务需要SSL加密才能连接到数据库客户端。由于敏感数据可能存在，因此在传输过程中启用加密以帮助保护该数据。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（CDMA）通用分组无线业务（GPRS）卫星通信 elb-tls-https-listeners-only 确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据，因此启用传输中加密有助于保护该数据。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（CDMA）通用分组无线业务（GPRS）卫星通信 pca-certificate-authority-expiration-check 华为云云证书管理服务提供有PCA服务，可以帮助您通过简单的可视化操作，以低投入的方式创建企业内部CA并使用它签发证书。确保用户明确该私有CA的过期时间。此规则需要daysToExpiration（默认值14）。实际值应反映组织的策略。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（CDMA）通用分组无线业务（GPRS）卫星通信 pca-certificate-expiration-check PCA是一个私有CA和私有证书管理平台。它让用户可以通过简单的可视化操作，建立用户自己完整的CA层次体系并使用它签发证书。确保用户明确该私有证书的过期时间。此规则需要daysToExpiration（默认值14）。实际值应反映组织的策略。 6.2 通过安装供应商提供的适用安全补丁，确保所有系统组件和软件免受已知漏洞的影响。在发布后一个月内安装关键安全补丁。注意：应根据要求6.1中定义的风险排序过程来识别关键安全补丁。 cce-cluster-end-of-maintenance-version 确保CCE集群版本为处于维护中的版本。 6.2 通过安装供应商提供的适用安全补丁，确保所有系统组件和软件免受已知漏洞的影响。在发布后一个月内安装关键安全补丁。注意：应根据要求6.1中定义的风险排序过程来识别关键安全补丁。 cce-cluster-oldest-supported-version 系统会自动为您的华为云CCE任务部署安全更新和补丁。如果发现影响华为云CCE平台版本的安全问题，华为云会修补该平台版本。要帮助对运行华为云cluster的华为云CCE任务进行补丁管理，请更新您服务的独立任务以使用最新的平台版本。 10.1 实施审计跟踪，将对系统组件的所有访问链接到每个用户。 apig-instances-execution-logging-enabled 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。 10.1 实施审计跟踪，将对系统组件的所有访问链接到每个用户。 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 10.1 实施审计跟踪，将对系统组件的所有访问链接到每个用户。 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.1 实施审计跟踪，将对系统组件的所有访问链接到每个用户。 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.1 实施审计跟踪，将对系统组件的所有访问链接到每个用户。 vpc-flow-logs-enabled VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 10.5 保护审计跟踪，使其无法更改。 cts-kms-encrypted-check 确保云审计服务（CTS）的追踪器已配置KMS加密存储用于归档的审计事件。 11.5 部署更改检测机制（例如，文件完整性监控工具），以提醒人员注意对关键系统文件、配置文件或内容文件的未经授权的修改（包括更改、添加和删除）;并将软件配置为至少每周执行一次关键文件比较。 cts-support-validate-check 确保云审计服务（CTS）追踪器已打开事件文件校验，已避免日志文件存储后被修改、删除。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 function-graph-inside-vpc 确保函数工作流（FunctionGraph）的所有流量都安全地位于虚拟私有云（VPC）中。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 mrs-cluster-no-public-ip 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（24）端口时认为不合规，确保对服务器的远程访问安全性。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 function-graph-inside-vpc 确保函数工作流（FunctionGraph）的所有流量都安全地位于虚拟私有云（VPC）中。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 mrs-cluster-no-public-ip 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（25）端口时认为不合规，确保对服务器的远程访问安全性。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 function-graph-inside-vpc 确保函数工作流（FunctionGraph）的所有流量都安全地位于虚拟私有云（VPC）中。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 mrs-cluster-no-public-ip 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（26）端口时认为不合规，确保对服务器的远程访问安全性。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 function-graph-inside-vpc 确保函数工作流（FunctionGraph）的所有流量都安全地位于虚拟私有云（VPC）中。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 mrs-cluster-no-public-ip 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（27）端口时认为不合规，确保对服务器的远程访问安全性。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（28）端口时认为不合规，确保对服务器的远程访问安全性。 10.2.1 对所有系统组件实施自动审计跟踪，以重建以下事件：所有个人用户访问持卡人数据 apig-instances-execution-logging-enabled 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。 10.2.1 对所有系统组件实施自动审计跟踪，以重建以下事件：所有个人用户访问持卡人数据 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 10.2.1 对所有系统组件实施自动审计跟踪，以重建以下事件：所有个人用户访问持卡人数据 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.2.1 对所有系统组件实施自动审计跟踪，以重建以下事件：所有个人用户访问持卡人数据 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.2.2 对所有系统组件实施自动审计跟踪，以重建以下事件：任何具有root或管理权限的个人执行的所有操作 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.2.2 对所有系统组件实施自动审计跟踪，以重建以下事件：任何具有root或管理权限的个人执行的所有操作 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.2.3 为所有系统组件实施自动审计跟踪，以重建以下事件：访问所有审计跟踪 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 10.2.3 为所有系统组件实施自动审计跟踪，以重建以下事件：访问所有审计跟踪 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.2.3 为所有系统组件实施自动审计跟踪，以重建以下事件：访问所有审计跟踪 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.2.4 对所有系统组件实施自动审计跟踪，以重建以下事件：无效的逻辑访问尝试 apig-instances-execution-logging-enabled 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。 10.2.4 对所有系统组件实施自动审计跟踪，以重建以下事件：无效的逻辑访问尝试 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 10.2.4 对所有系统组件实施自动审计跟踪，以重建以下事件：无效的逻辑访问尝试 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.2.4 对所有系统组件实施自动审计跟踪，以重建以下事件：无效的逻辑访问尝试 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.2.5 对所有系统组件实施自动审计跟踪，以重建以下事件：识别和身份验证机制的使用和更改（包括但不限于创建新账号和提升权限），以及对具有根权限或管理权限的账号的所有更改、添加或删除 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.2.5 对所有系统组件实施自动审计跟踪，以重建以下事件：识别和身份验证机制的使用和更改（包括但不限于创建新账号和提升权限），以及对具有根权限或管理权限的账号的所有更改、添加或删除 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.2.6 对所有系统组件实施自动审计跟踪，以重建以下事件：初始化、停止或暂停审核日志 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.2.6 对所有系统组件实施自动审计跟踪，以重建以下事件：初始化、停止或暂停审核日志 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.2.7 对所有系统组件实施自动审计跟踪，以重建以下事件：创建和删除系统级对象 apig-instances-execution-logging-enabled 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。 10.2.7 对所有系统组件实施自动审计跟踪，以重建以下事件：创建和删除系统级对象 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.2.7 对所有系统组件实施自动审计跟踪，以重建以下事件：创建和删除系统级对象 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.3.1 对于每个事件，至少记录所有系统组件的以下审计跟踪条目：用户识别 apig-instances-execution-logging-enabled 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。 10.3.1 对于每个事件，至少记录所有系统组件的以下审计跟踪条目：用户识别 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 10.3.1 对于每个事件，至少记录所有系统组件的以下审计跟踪条目：用户识别 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.3.1 对于每个事件，至少记录所有系统组件的以下审计跟踪条目：用户识别 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.3.1 对于每个事件，至少记录所有系统组件的以下审计跟踪条目：用户识别 vpc-flow-logs-enabled VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 10.5.2 保护审计跟踪文件免遭未经授权的修改。 cts-kms-encrypted-check 确保云审计服务（CTS）的追踪器已配置KMS加密存储用于归档的审计事件。 10.5.3 及时将审计跟踪文件备份到难以更改的集中式日志服务器或介质。 cts-lts-enable 确保使用云日志服务（LTS）集中收集云审计服务（CTS）的数据。 10.5.5 对日志使用文件完整性监视或更改检测软件，以确保在不生成警报的情况下无法更改现有日志数据（尽管添加新数据不应引起警报）。 cts-support-validate-check 确保云审计服务（CTS）追踪器已打开事件文件校验，已避免日志文件存储后被修改、删除。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 function-graph-inside-vpc 确保函数工作流（FunctionGraph）的所有流量都安全地位于虚拟私有云（VPC）中。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 mrs-cluster-no-public-ip 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（29）端口时认为不合规，确保对服务器的远程访问安全性。 3.5.2 将对加密密钥的访问限制为所需的最少保管人数量。 iam-customer-policy-blocked-kms-actions 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来，限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。 3.6.4 已达到其加密期结束的密钥的加密密钥更改（例如，在定义的时间段过去后和/或给定密钥生成一定数量的密文之后），由关联的应用程序供应商或密钥所有者定义，并基于行业最佳实践和准则（例如，NIST特别出版物800-57）。 kms-rotation-enabled 确保数据加密服务（KMS）密钥启用密钥轮换。 3.6.5 当密钥的完整性被削弱（例如，知道明文密钥组件的员工离职）或怀疑密钥被泄露时，必要时停用或替换密钥（例如，存档、销毁和/或吊销）。注意：如果需要保留已停用或替换的加密密钥，则必须安全地存档这些密钥（例如，使用密钥加密密钥）。存档的加密密钥只能用于解密/验证目的。 kms-not-scheduled-for-deletion 确保数据加密服务（KMS）密钥未处于“计划删除“状态，以防止误删除密钥。 3.6.7 防止未经授权替换加密密钥。 kms-not-scheduled-for-deletion 确保数据加密服务（KMS）密钥未处于“计划删除“状态，以防止误删除密钥。 7.1.1 定义每个角色的访问需求，包括：每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别（例如，用户、管理员等）。 iam-customer-policy-blocked-kms-actions 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来，限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。 7.1.1 定义每个角色的访问需求，包括：每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别（例如，用户、管理员等）。 iam-group-has-users-check 确保IAM组至少有一个用户，帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 7.1.1 定义每个角色的访问需求，包括：每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别（例如，用户、管理员等）。 iam-policy-no-statements-with-admin-access 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.1.1 定义每个角色的访问需求，包括：每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别（例如，用户、管理员等）。 iam-role-has-all-permissions 确保IAM操作仅限于所需的操作。允许用户拥有比完成任务所需的更多权限可能会违反最小权限和职责分离原则。 7.1.1 定义每个角色的访问需求，包括：每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别（例如，用户、管理员等）。 iam-root-access-key-check 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.1.1 定义每个角色的访问需求，包括：每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别（例如，用户、管理员等）。 iam-user-group-membership-check 确保用户至少是一个组的成员，帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限，可能会违反最小权限和职责分离的原则。 7.1.1 定义每个角色的访问需求，包括：每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别（例如，用户、管理员等）。 mrs-cluster-kerberos-enabled 通过为华为云MRS集群启用Kerberos，可以按照最小权限和职责分离的原则来管理和合并访问权限和授权。 7.1.2 将对特权用户ID的访问限制为执行工作职责所需的最低权限。 iam-customer-policy-blocked-kms-actions 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来，限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。 7.1.2 将对特权用户ID的访问限制为执行工作职责所需的最低权限。 iam-group-has-users-check 确保IAM组至少有一个用户，帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 7.1.2 将对特权用户ID的访问限制为执行工作职责所需的最低权限。 iam-policy-no-statements-with-admin-access 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.1.2 将对特权用户ID的访问限制为执行工作职责所需的最低权限。 iam-role-has-all-permissions 确保IAM操作仅限于所需的操作。允许用户拥有比完成任务所需的更多权限可能会违反最小权限和职责分离原则。 7.1.2 将对特权用户ID的访问限制为执行工作职责所需的最低权限。 iam-root-access-key-check 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.1.2 将对特权用户ID的访问限制为执行工作职责所需的最低权限。 iam-user-group-membership-check 确保用户至少是一个组的成员，帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限，可能会违反最小权限和职责分离的原则。 7.2.1 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：覆盖所有系统组件 iam-customer-policy-blocked-kms-actions 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来，限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。 7.2.1 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：覆盖所有系统组件 iam-group-has-users-check 确保IAM组至少有一个用户，帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 7.2.1 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：覆盖所有系统组件 iam-policy-no-statements-with-admin-access 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.2.1 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：覆盖所有系统组件 iam-role-has-all-permissions 确保IAM操作仅限于所需的操作。允许用户拥有比完成任务所需的更多权限可能会违反最小权限和职责分离原则。 7.2.1 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：覆盖所有系统组件 iam-root-access-key-check 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.2.1 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：覆盖所有系统组件 iam-user-group-membership-check 确保用户至少是一个组的成员，帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限，可能会违反最小权限和职责分离的原则。 7.2.1 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：覆盖所有系统组件 mrs-cluster-kerberos-enabled 通过为华为云MRS集群启用Kerberos，可以按照最小权限和职责分离的原则来管理和合并访问权限和授权。 7.2.2 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：根据工作分类和职能向个人分配权限。 iam-customer-policy-blocked-kms-actions 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来，限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。 7.2.2 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：根据工作分类和职能向个人分配权限。 iam-group-has-users-check 确保IAM组至少有一个用户，帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 7.2.2 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：根据工作分类和职能向个人分配权限。 iam-policy-no-statements-with-admin-access 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.2.2 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：根据工作分类和职能向个人分配权限。 iam-role-has-all-permissions 确保IAM操作仅限于所需的操作。允许用户拥有比完成任务所需的更多权限可能会违反最小权限和职责分离原则。 7.2.2 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：根据工作分类和职能向个人分配权限。 iam-root-access-key-check 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.2.2 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：根据工作分类和职能向个人分配权限。 iam-user-group-membership-check 确保用户至少是一个组的成员，帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限，可能会违反最小权限和职责分离的原则。 7.2.2 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：根据工作分类和职能向个人分配权限。 mrs-cluster-kerberos-enabled 通过为华为云MRS集群启用Kerberos，可以按照最小权限和职责分离的原则来管理和合并访问权限和授权。 8.1.1 在允许所有用户访问系统组件或持卡人数据之前，为所有用户分配一个唯一的ID。 iam-root-access-key-check 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 8.1.4 在90天内删除/禁用非活动用户账号。 access-keys-rotated 确保根据组织策略轮换IAM访问密钥，这缩短了访问密钥处于活动状态的时间，并在密钥被泄露时减少业务影响。 8.2.1 使用强加密技术，使所有身份验证凭据（如密码/短语）在所有系统组件的传输和存储过程中不可读。 apig-instances-ssl-enabled 确保使用SSL证书配置华为云API Gateway REST API阶段，以允许后端系统对来自API Gateway的请求进行身份验证。 8.2.1 使用强加密技术，使所有身份验证凭据（如密码/短语）在所有系统组件的传输和存储过程中不可读。 elb-tls-https-listeners-only 确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据，因此启用传输中加密有助于保护该数据。 8.2.1 使用强加密技术，使所有身份验证凭据（如密码/短语）在所有系统组件的传输和存储过程中不可读。 rds-instances-enable-kms 为了帮助保护静态数据，请确保为您的华为云RDS实例启用加密。由于敏感数据可以静态存在于华为云RDS实例中，因此启用静态加密有助于保护该数据。 8.2.1 使用强加密技术，使所有身份验证凭据（如密码/短语）在所有系统组件的传输和存储过程中不可读。 sfsturbo-encrypted-check 由于敏感数据可能存在并帮助保护静态数据，确保弹性文件服务（SFSTurbo）已通过KMS进行加密。 8.2.1 使用强加密技术，使所有身份验证凭据（如密码/短语）在所有系统组件的传输和存储过程中不可读。 volumes-encrypted-check 由于敏感数据可能存在，为了帮助保护静态数据，确保已挂载的云硬盘已进行加密。 8.2.3 密码/密码必须满足以下条件：要求最小长度至少为7个字符。包含数字和字母字符。或者，密码/密码短语的复杂性和强度必须至少与上述指定的参数相当。 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 8.2.4 至少每90天更改一次用户密码/密码。 access-keys-rotated 确保根据组织策略轮换IAM访问密钥，这缩短了访问密钥处于活动状态的时间，并在密钥被泄露时减少业务影响。 8.2.4 至少每90天更改一次用户密码/密码。 access-keys-rotated 确保根据组织策略轮换IAM访问密钥，这缩短了访问密钥处于活动状态的时间，并在密钥被泄露时减少业务影响。 8.2.4 至少每90天更改一次用户密码/密码。 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 8.2.5 不要允许个人提交与他或她使用的最后四个密码/密码中的任何一个相同的新密码/密码。 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 8.3.1 将所有非控制台访问的多重身份验证合并到CDE中，供具有管理访问权限的人员使用。 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 8.3.1 将所有非控制台访问的多重身份验证合并到CDE中，供具有管理访问权限的人员使用。 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 8.3.1 将所有非控制台访问的多重身份验证合并到CDE中，供具有管理访问权限的人员使用。 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 8.3.2 对来自实体网络外部的所有远程网络访问（包括用户和管理员，包括用于支持或维护的第三方访问）进行多重身份验证。 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 8.3.2 对来自实体网络外部的所有远程网络访问（包括用户和管理员，包括用于支持或维护的第三方访问）进行多重身份验证。 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 8.3.2 对来自实体网络外部的所有远程网络访问（包括用户和管理员，包括用于支持或维护的第三方访问）进行多重身份验证。 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。

操作步骤 使用创建组织合规规则包的组织账号登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“合规规则包”，进入“合规规则包”页面。 选择“组织合规规则包”页签，在组织合规规则包列表中单击操作列的“编辑”。 进入“编辑组织合规规则包”页面，当前不支持修改合规规则包选择的模板，单击“下一步”。 进入“详细信息”页面，修改合规规则包名称和规则参数的值，单击“下一步”。 图1 修改组织合规规则包 进入“确认配置”页面，确认修改无误后，单击“确定”。 组织合规规则包修改完成后将会在部署账号中重新部署下发。

目前支持的筛选条件 表1 支持的筛选条件 筛选条件 说明 名称 资源名称支持模糊搜索，并且忽略大小写。 资源ID 资源ID支持模糊搜索，但不忽略大小写。 标签 选择标签后，会依次弹出所有的标签键及对应的标签值列表，您再依次选择标签键及对应的标签值即可。 企业项目 通过企业项目筛选框选择企业项目，资源列表将自动筛选并展示此企业项目下的资源。 根据企业项目筛选资源的功能必须要先开通企业项目才可以使用。

操作场景 如果您是组织管理员或Config服务的委托管理员，您可以添加组织类型的合规规则包，直接作用于您组织内的成员账号中。 当组织合规规则包部署成功后，会在组织内成员账号的合规规则包列表中显示此组织合规规则包。且该组织合规规则包的删除操作只能由创建组织规则包的组织账号进行，组织内的其他账号只能触发合规规则包部署规则的评估和查看规则评估结果以及详情。 组织合规规则包创建完成后，所部属的规则默认会执行一次评估，后续将根据规则的触发机制自动触发评估，也可以在资源合规规则列表中手动触发单个合规规则的评估。

添加授权 您可以通过“添加授权”功能向聚合器账号授权，授权完成后，资源聚合器聚合您账号中的资源数据时，无需再次向您发送授权请求，即可聚合您账号中的资源数据。 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“授权”，进入“授权”页面。 单击页面右上角的“添加授权”。 在弹出的“添加授权”页面中，输入要添加授权的聚合器账号ID。 图1 添加授权 单击“确定”，完成授权。 授权完成后，“已授权”列表中将显示此授权记录。

接受授权 当资源聚合器需要聚合您账号中的资源数据时，您会在“待授权”页签收到聚合器账号发送的授权请求，确认授权后，资源聚合器才可以聚合您账号中的资源数据。 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“授权”，进入“授权”页面。 选择“待授权”页签，在列表中选择待处理的授权请求，单击操作列的“授权”。 在弹出的确认框中单击“确定”，完成授权。 接受授权请求后，此授权记录将在“已授权”列表中显示。 图2 接受授权

删除授权 如需取消对某个资源聚合器账号的授权，您可以删除授权。 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“授权”，进入“授权”页面。 选择“已授权”页签，在列表中选择待删除的授权请求，单击操作列的“删除”。 在弹出的确认框中单击“确定”，此授权记录将移至“待授权”列表，授权状态变为“待授权”。 此时聚合器账号已无权聚合您账号中的资源数据，如需再次授权，您可以在“待授权”页签中单击此授权记录操作列的“授权”并确认，聚合器账号将再次获得您的授权。 图3 删除授权 如需彻底删除此授权记录，需在“待授权”列表中的操作列单击“删除”并确认，此授权记录彻底删除。 在“待授权”列表中删除授权请求后，如需再次授权，请重新向聚合器账号授权，具体请参见添加授权。

适用于云审计服务（CTS）的最佳实践 该示例模板中对应的合规规则的说明和修复项指导如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 说明指导 规则描述 修复项指导 cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts 确保云审计服务（CTS）的追踪器已配置KMS加密存储用于归档的审计事件。 CTS追踪器未通过KMS进行加密，视为“不合规” 建议您配置独立OBS桶并配置KMS加密存储专门用于归档审计事件。 cts-lts-enable CTS追踪器启用事件分析 cts 确保使用云日志服务（LTS）集中收集云审计服务（CTS）的数据。 CTS追踪器未启用事件分析，视为“不合规” 开通云审计日志后，系统会自动创建一个名为system的管理事件追踪器，并将当前租户的所有操作记录在该追踪器中。在追踪器中配置CTS转储到LTS，配置完成后会在LTS自动创建日志组日志流 cts-support-validate-check CTS追踪器打开事件文件校验 cts 在安全和事故调查中，通常由于事件文件被删除或者被私下篡改，而导致操作记录的真实性受到影响，无法对调查提供有效真实的依据。事件文件完整性校验功能旨在帮助您确保事件文件的真实性。 CTS追踪器未打开事件文件校验，视为“不合规” 在配置转储页面打开“文件校验”开关，即可开启事件文件完整性校验功能。 cts-tracker-exists 创建并启用CTS追踪器 cts 云审计服务支持创建数据类事件追踪器，用于记录数据操作日志。数据类追踪器用于记录数据事件，即针对租户对OBS桶中的数据的操作日志，例如上传、下载等。 账号未创建CTS追踪器，视为“不合规” 可进入云审计服务页面，导航栏选择“追踪器”，单击“创建追踪器”，根据提示操作。 父主题： 合规规则包示例模板

适用于云监控服务（CES）的最佳实践 该示例模板中对应的合规规则的说明和修复项指导如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 说明指导 规则描述 修复项指导 alarm-action-enabled-check 启用了CES告警操作 ces 确保启用了CES告警操作,用户对云服务的核心监控指标设置告警规则，当监控指标触发用户设置的告警条件时,云监控服务使用消息通知服务向用户通知告警信息。 CES告警操作未启用，视为“不合规” 您需要在消息通知服务界面创建一个主题并为这个主题添加相关的订阅者，然后在添加告警规则的时候，您需要开启消息通知服务并选择创建的主题，这样在云服务发生异常时，云监控服务可以实时的将告警信息以广播的方式通知这些订阅者。 alarm-kms-disable-or-delete-key CES配置监控KMS禁用或计划删除的事件监控告警 ces，kms 事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控服务，并在事件发生时进行告警。事件即云监控服务保存并监控的云服务资源的关键操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。CES事件监控可以支持密钥管理服务(KMS)的相关事件，包含禁用密钥和计划删除密钥等。 CES未配置监控KMS禁用或计划删除密钥的事件监控告警，视为“不合规” 用户可以在事件监控中创建告警规则，选择对应的监控对象，配置告警内容参数。 alarm-obs-bucket-policy-change CES配置监控OBS桶策略变更的事件监控告警 ces，obs 事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控服务，并在事件发生时进行告警。事件即云监控服务保存并监控的云服务资源的关键操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。CES事件监控可以支持对象存储服务(OBS)的相关事件，包含设置桶的策略和删除桶policy配置等。 CES未配置监控OBS桶策略变更的事件监控告警，视为“不合规” 用户可以在事件监控中创建告警规则，选择对应的监控对象，配置告警内容参数。 alarm-vpc-change CES配置监控VPC变更的事件监控告警 ces，vpc 事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控服务，并在事件发生时进行告警。事件即云监控服务保存并监控的云服务资源的关键操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。CES事件监控可以支持弹性公网IP和带宽的相关事件，包含删除VPC和修改VPC等。 CES未配置监控VPC变更的事件监控告警，视为“不合规” 用户可以在事件监控中创建告警规则，选择对应的监控对象，配置告警内容参数。 父主题： 合规规则包示例模板

开启并配置资源记录器 开启并配置资源记录器后，当您的资源变更（被创建、修改、删除）、资源关系变更时，您均可收到通知，同时还可对您的资源变更消息和资源快照进行定期存储。 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源记录器”，进入“资源记录器”页面。 打开资源记录器开关，在弹出的确认框中单击“是”，资源记录器开启成功。 图1 开启资源记录器 选择资源的监控范围。 默认情况下，资源记录器的监控范围会覆盖当前所有支持的资源。您可以修改资源记录器的监控范围，选择指定的资源类型进行监控。 图2 选择监控范围 配置资源转储。 选择OBS桶，用于存储资源变更消息及资源快照。 配置当前账号下OBS桶： 选择您账号下的OBS桶，用于存储资源变更消息及资源快照，如果用于转储的OBS桶指定了前缀，则还需添加桶前缀。如您的账号下无OBS桶，则需先创建OBS桶，详见《对象存储服务用户指南》。 配置其他账号下OBS桶： 选择“另一账号的桶”，并输入区域ID和桶名称，如果用于转储的OBS桶指定了前缀，则还需添加桶前缀。需先使用其他账号对当前账号授予相关OBS桶的权限，具体操作请参见跨账号授权。 开启资源记录器时，如果指定了当前账号或其他账号下的OBS桶，Config会向目标OBS桶中写入一个名为ConfigWritabilityCheckFile的空文件，此文件用来验证资源转储是否能够成功写入OBS桶。 图3 配置资源转储 配置数据保留周期。 资源记录器收集到的资源配置信息数据默认保留7年（2557天），您可以将配置信息数据设置自定义保留周期，自定义数据保留周期的可设置范围为最短30天，最长7年（2557天）。 虽然Config使用SMN和OBS发送资源变更消息通知和存储资源变更消息及资源快照，但Config自身也会保存资源的历史变更信息。此处配置的数据保留时间仅针对于Config，不会对SMN和OBS存储的数据产生影响。 当您配置数据保留周期后，Config会在指定周期内保留您的资源历史数据，超出指定周期的数据将会被删除。 图4 配置数据保留周期 开启并配置消息通知（SMN）主题。 打开主题开关，选择主题所在区域和主题名，用于接收资源变更时产生的消息通知。 配置当前账号下消息通知主题： 选择“您自己的主题”，并选择主题所在区域和主题名，用于接收资源变更时产生的消息通知。如无SMN主题，则需先创建SMN主题，详见《消息通知服务用户指南》。 配置其他账号下消息通知主题： 选择“另一账号的主题”，并输入主题URN。需先使用其他账号对当前账号授予相关SMN主题的权限，具体操作请参见跨账号授权。 创建SMN主题后，还需执行“添加订阅”和“请求订阅”操作，消息通知才会生效。详见《消息通知服务用户指南》。 图5 配置SMN主题 进行授权，选择“快速授权”或“自定义授权”。 快速授权：将为您快速创建一个名为“rms_tracker_agency”的委托权限，该权限是可以让资源记录器正常工作的权限，包含调用消息通知服务（SMN）发送通知的权限和对象存储服务（OBS）的写入权限（例如SMN Administrator和OBS OperateAccess权限）。由于快速授权的委托中并不包含KMS的相关权限，因此资源记录器无法将资源变更消息和资源快照存储到“使用KMS方式加密的OBS桶”中。如有需要，您可以在委托中添加对应权限（KMS Administrator）或使用自定义授权，具体请参见资源变更消息和资源快照转储至OBS加密桶。 自定义授权：您可自行在统一身份认证服务（IAM）中创建委托权限，并进行自定义授权，授权对象为云服务RMS，但必须包含可以让资源记录器正常工作的权限（调用消息通知服务（SMN）发送通知的权限和对象存储服务（OBS）的写入权限）。如果需要将资源变更消息和资源快照存储到“使用KMS方式加密的OBS桶”中，还需要添加KMS的密钥管理员权限（KMS Administrator），具体请参见资源变更消息和资源快照转储至OBS加密桶。创建委托详见《统一身份认证服务用户指南》。 此处的授权为委托授权，授权消息通知服务（SMN）的发送通知权限和对象存储服务（OBS）的写入权限给Config服务，允许资源记录器将消息通知发送到您的SMN主题和将资源变更消息以及资源快照存储到您的OBS桶。 图6 授权 配置完成后，单击“保存”。 在弹出的确认框中单击“是”，资源记录器配置成功。

跨账号授权 跨账号授予SMN主题发送通知的权限 用授权账号登录管理控制台，进入对应区域的SMN服务控制台。 参考设置主题策略对待授权账号授予相关SMN主题的权限。 跨账号授予OBS桶存储文件的权限 用授权账号登录管理控制台，进入OBS管理控制台。 参考自定义创建桶策略（JSON视图）对待授权账号授予相关OBS桶的权限。 将如下策略添加到桶策略中： { "Statement": [ { "Sid": "org-bucket-policy", "Effect": "Allow", "Principal": { "ID": [ "domain/account ID:agency/rms_tracker_agency" //account ID为需要被授权账号的domain_id；rms_tracker_agency为被授权的委托名称 ] }, "Action": [ "PutObject" ], "Resource": [ "targetBucketName/RMSLogs/*/Snapshot/*", "targetBucketName/RMSLogs/*/Notification/*" ] } ] } 桶策略的授权对象是创建资源记录器时使用的委托，授权资源为资源记录器转储的文件路径（如果在配置资源记录器时为转储的OBS桶指定了前缀，则资源记录器转储的文件路径也需添加相应前缀），授权操作为写入文件到OBS桶所需的PutObject操作。

资源变更消息和资源快照转储至OBS加密桶 使用SSE-OBS方式加密的OBS桶 如果您需要将资源变更消息和资源快照存储至使用SSE-OBS方式加密的OBS桶，无需其他操作，只需选择对应OBS桶进行存储即可。 使用SSE-KMS默认密钥方式加密的OBS桶 如果您需要将资源变更消息和资源快照存储至使用SSE-KMS默认密钥方式加密的OBS桶，则需要在对资源记录器的委托中新增KMS的管理员权限（KMS Administrator）。 使用SSE-KMS自定义密钥方式加密的OBS桶 如果您需要将资源变更消息和资源快照存储使用SSE-KMS自定义密钥方式加密的OBS桶，则需要在对资源记录器的委托中新增KMS的管理员权限（KMS Administrator）。 另外，如果您选择将资源变更消息和资源快照存储至其他账号的使用SSE-KMS自定义密钥方式加密的OBS桶，则除了需要在对资源记录器的委托中新增KMS的管理员权限（KMS Administrator），还需要在被存储的OBS桶的密钥中设置密钥的跨账号权限。具体可参考以下步骤： 用授权账号登录管理控制台，进入数据加密服务的“密钥管理”界面。 单击目标自定义密钥的别名，进入密钥详细信息的授权页面。 参考创建授权对待授权账号授予其使用相关自定义密钥的权限。 “被授权对象”选择“账号”，并输入待授权账号的账号ID。 “授权操作”勾选“创建数据密钥”。

操作场景 您可以在规则列表中查看资源聚合器聚合的全部合规性数据。该列表可帮助您筛选不同资源聚合器聚合的合规性数据，且支持通过规则名称、合规评估结果和账号ID进一步筛选，还可以查看每个合规规则的详情。 查看组织资源聚合器聚合的合规性数据依赖于组织服务的相关授权项，您需要具有如下权限： organizations:organizations:get organizations:delegatedAdministrators:list organizations:trustedServices:list

操作步骤 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“规则”，进入“规则”页面。 在页面左上角选择需要查看的资源聚合器，列表中将展示此聚合器聚合的全部合规性数据。 在列表中单击需要查看的规则名称，即可查看此合规规则的详细信息。 在页面上方的搜索框中可使用规则名称、合规评估结果和账号ID，进一步对聚合的合规性数据进行筛选。 图1 查看聚合的合规规则

操作场景 资源聚合器创建完成后，您可以根据需要随时修改账号类型资源聚合器的名称和源账号，组织类型的资源聚合器仅支持修改聚合器名称。 如下步骤以修改账号类型的聚合器为例进行说明。 修改组织类型的资源聚合器依赖于组织服务的相关授权项，您需要具有如下权限： organizations:organizations:get organizations:accounts:list organizations:delegatedAdministrators:list organizations:trustedServices:enable organizations:trustedServices:list

操作步骤 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“聚合器”，进入“聚合器”页面。 在资源聚合器列表中选择需要修改的聚合器，单击“操作”列的“编辑”按钮。 在资源聚合器详情页中的右上角单击“编辑”按钮，也可以跳转至“编辑聚合器”页面进行修改操作。 图1 修改资源聚合器 进入“编辑聚合器”页面，修改聚合器名称和源账号。 修改完成后，单击“确定”。

操作步骤 使用创建组织合规规则的组织账号登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 选择“组织规则”页签，在规则列表中单击操作列的“删除”。 在弹出的“删除规则”对话框中，单击。 组织合规规则删除后，此规则部署的成员账号的规则列表中也将自动删除此规则。 图1 删除组织合规规则 单击规则列表下的具体规则名，进入“规则详情”页面，在页面右上角单击“编辑规则”和“删除规则”按钮，也可以对此规则进行编辑和删除操作。

操作步骤 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“聚合器”，进入“聚合器”页面。 单击页面右上角的“创建聚合器”。 在创建聚合器页面，先勾选“允许数据复制”确认框，然后配置聚合器名称和源账号信息。 如果源类型选择“添加账号”，则输入华为云账号ID，多个账号之间以逗号分隔；如果源类型选择“添加组织”，资源聚合器将直接聚合此组织下所有成员账号的数据，无需输入账号ID。 图1 创建聚合器 账号类型的资源聚合器仅支持聚合华为云账号下的资源，因此源账号ID需输入华为云账号ID（domain_id）。如何获取账号ID请参见获取账号ID。 创建组织类型资源聚合器的账号需开通组织服务，且必须为组织的管理账号或Config服务的委托管理员账号，具体请参见添加、查看和取消委托管理员。如果创建组织类型资源聚合器的账号为组织管理账号，Config服务会调用enableTrustedService接口启用Config与Organizations之间的集成；如果创建组织类型资源聚合器的账号为Config服务的委托管理员账号，Config服务会调用ListDelegatedAdministrators接口用于验证调用者是否为有效的委托管理员。 单击“确定”，完成资源聚合器创建。

操作场景 您可以创建账号类型或组织类型的资源聚合器。 账号类型的资源聚合器必须获得源账号的授权才能聚合数据，具体请参见授权资源聚合器账号。 创建组织类型的资源聚合器依赖于组织服务的相关授权项，您需要具有如下权限： organizations:organizations:get organizations:accounts:list organizations:delegatedAdministrators:list organizations:trustedServices:enable organizations:trustedServices:list

适用于统一身份认证服务（IAM）的最佳实践 该示例模板中对应的合规规则的说明和修复项指导如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 说明指导 规则描述 修复项指导 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam 企业用户通常都会使用访问密钥（AK/SK）的方式对云上资源的进行API访问，但是访问密钥需要做到定期的自动轮换，以降低密钥泄露等潜在的安全风险。 IAM用户的访问密钥未在指定天数内轮转，视为“不合规”. 用户可以通过使用API调用的方式轮换访问密钥。 iam-group-has-users-check IAM用户组添加了IAM用户 iam 管理员创建用户组并授权后，将用户加入用户组中，使用户具备用户组的权限，实现用户的授权。给已授权的用户组中添加或者移除用户，快速实现用户的权限变更。确保IAM组至少有一个用户，帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 IAM用户组未添加任意IAM用户，视为“不合规” 管理员在用户组列表中，单击新建的用户组，选择“用户组管理”，在“可选用户”中选择需要添加至用户组中的用户。 iam-password-policy IAM用户密码策略符合要求 iam 确保IAM用户密码强度满足密码强度要求。 IAM用户密码强度不满足密码强度要求，视为“不合规” 用户可以根据提示修改密码达到需要的密码强度。 iam-root-access-key-check IAM账号存在可使用的访问密钥 iam 确保根访问密钥已删除。 账号存在可使用的访问密钥，视为“不合规” 用户可以根据规则评估结果删除账号可使用的访问密钥。 iam-user-console-and-api-access-at-creation IAM用户创建时设置AccessKey iam 访问密钥即AK/SK（Access Key ID/Secret Access Key），是您通过开发工具（API、CLI、SDK）访问华为云时的身份凭证，不能登录控制台。 对于从Console侧访问的IAM用户，其创建时设置访问密钥，视为“不合规” 用户可以根据规则评估结果删除或停用访问密钥。 iam-user-group-membership-check IAM用户归属用户组 iam 管理员创建用户组并授权后，将用户加入用户组中，使用户具备用户组的权限，实现用户的授权。给已授权的用户组中添加或者移除用户，快速实现用户的权限变更。 IAM用户不属于任意一个IAM用户组，视为“不合规” 可以选择一个用户组，以管理员的身份，将不合规的IAM用户添加到用户组中。 iam-user-last-login-check IAM用户在指定时间内有登录行为 iam 管理员创建IAM用户后，这个新建的IAM用户可以登录华为云。避免IAM用户资源闲置。 IAM用户在指定时间范围内无登录行为，视为“不合规” 您可以在华为云登录页面或者打开IAM用户专属链接，输入用户名和密码的方式登录IAM用户。 iam-user-mfa-enabled IAM用户开启MFA iam 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账户被盗用的事件。 IAM用户未开启MFA认证，视为“不合规” 您需要在智能设备上安装一个虚拟MFA应用程序后（例如：华为云App、Google Authenticator或Microsoft Authenticator），才能绑定虚拟MFA设备。 iam-user-single-access-key IAM用户单访问密钥 iam 账号和IAM用户的访问密钥是单独的身份凭证，即账号和IAM用户仅能使用自己的访问密钥进行API调用。 IAM用户拥有多个处于“active”状态的访问密钥，视为“不合规” 用户可以根据规则评估结果删除或停用多余的访问密钥。 mfa-enabled-for-iam-console-access Console侧密码登录的IAM用户开启MFA认证 iam 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA 在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行 MFA，您可以减少账户被盗用的事件，并防止敏感数据被未经授权的用户访问。 通过Console密码登录的IAM用户未开启MFA认证，视为“不合规” 您需要在智能设备上安装一个虚拟MFA应用程序后（例如：华为云App、Google Authenticator或Microsoft Authenticator），才能绑定虚拟MFA设备。 root-account-mfa-enabled 根账号开启MFA认证 iam 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。多因素认证Multi-Factor Authentication（MFA）是一种非常简单的安全实践方法，它能够在用户名称和密码之外再额外增加一层保护。启用多因素认证后，用户进行操作时，除了需要提供用户名和密码外（第一次身份验证），还需要提供验证码（第二次身份验证），多因素身份认证结合起来将为您的账号和资源提供更高的安全保护。 根账号未开启MFA认证，视为“不合规” 您需要在智能设备上安装一个虚拟MFA应用程序后（例如：华为云App、Google Authenticator或Microsoft Authenticator），才能绑定虚拟MFA设备。 父主题： 合规规则包示例模板

操作场景 资源合规规则添加完成后，您可以随时对其进行修改、停用、启用、删除操作。 您可以在规则列表的操作列或规则详情页中进行这些操作，本章节以规则列表的操作为例进行说明，包含如下内容： 停用合规规则 启用合规规则 修改合规规则 删除合规规则 托管合规规则不支持进行修改、停用、启用、删除操作，托管合规规则是由组织合规规则或合规规则包创建的，由组织合规规则创建的托管规则只能由创建规则的组织账号进行修改和删除操作，由合规规则包创建的托管规则可以通过更新合规规则包进行参数修改，且只能通过删除相应合规规则包来进行删除。具体请参见组织合规规则和合规规则包。

操作步骤 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 在“规则”页签下单击“添加规则”，进入“基础配置”页面，基础配置完成后，单击页面右下角的“下一步”。 图1 添加合规规则-基础配置 相关参数配置，详见表1 基础配置参数说明。 表1 基础配置参数说明 参数 说明 策略类型 策略类型有： 预设策略 自定义策略 预设策略 预设策略即服务已开发的策略。 使用服务已开发的策略，快速完成合规规则创建。 预设策略详情见系统内置预设策略。 自定义策略 允许用户通过自定义策略来创建合规规则。 自定义策略详情见添加自定义合规规则。 规则名称 规则名称默认复用所选择预设策略的名称，不能与已存在的合规规则名称重复，如有重复需自行修改。 合规规则名称仅支持数字、字母、下划线和中划线。 规则简介 规则简介默认复用所选择预设策略的简介，也可自行修改。 目前对合规规则简介的内容不做限制。 FunctionGraph 函数 用户自定义策略执行函数的urn。 创建FunctionGraph函数请参见创建FunctionGraph函数。 仅当“策略类型”选择“自定义策略”时需配置此参数。 授权 此处的授权为委托授权，授权函数工作流（FunctionGraph）的只读权限和调用权限给Config服务，允许自定义合规规则查询函数工作流以及将事件发送至函数工作流。 仅当“策略类型”选择“自定义策略”时需配置此参数。 说明： 快速授权：将为您快速创建一个名为“rms_custom_policy_agency”的委托权限，该权限是可以让自定义合规规则正常工作的权限，包含函数工作流（FunctionGraph）的只读权限和调用权限。 自定义授权：您可自行在统一身份认证服务（IAM）中创建委托权限，并进行自定义授权，但必须包含可以让自定义合规规则正常工作的权限（函数工作流（FunctionGraph）的只读权限和调用权限），创建委托详见《统一身份认证服务用户指南》。 进入“规则参数”页面，规则参数配置完成后，单击“下一步”。 图2 添加合规规则-规则参数 相关参数配置，详见表2 合规规则参数说明。 表2 合规规则参数说明 参数 说明 触发类型 用于触发资源合规规则。 触发类型有： 配置变更：在指定的云资源发生更改时触发规则评估。 周期执行：按照您设定的频率运行。 过滤器类型 用于指定资源类型参与规则评估。 过滤器类型分为： 指定资源：指定资源类型下的所有资源均参与规则评估。 所有资源：账号下的所有资源均参与规则评估。 仅当“触发类型”为“配置变更”时需配置此参数。 指定资源范围 过滤器类型选择“指定资源”后，需选择指定资源范围。 服务：选择资源所属的服务； 资源类型：选择对应服务下的资源类型； 区域：选择资源所在的区域。 仅当“触发类型”为“配置变更”时需配置此参数。 过滤范围 使用过滤范围可指定资源类型下的某个具体资源参与规则评估。 过滤范围开启后您可通过资源ID或标签指定过滤范围。 仅当“触发类型”为“配置变更”时需配置此参数。 周期频率 设置合规规则周期执行的频率。 仅当“触发类型”为“周期执行”时需配置此参数。 规则参数 此处的“规则参数”和第一步所选的“预设策略”或“自定义策略”相对应，是对第一步所选的预设策略或自定义策略进行具体参数设置。 例如：第一步预设策略选择“required-tag-check”，指定一个标签，不具有此标签的资源，视为“不合规”，则这里的规则参数就需要指定具体的标签键和值作为判断是否合规的依据。 有的“预设策略”需要添加规则参数，有的“预设策略”不需要添加规则参数（例如：volumes-encrypted-check：已挂载的云硬盘未进行加密，视为“不合规”）。 自定义策略的规则参数最多可以设置10个，由您自行配置。 进入“确认规则”页面，确认规则信息无误后，单击“提交”按钮，完成合规规则添加。 图3 添加合规规则-确认规则 合规规则创建后会立即自动触发首次评估。

约束与限制 每个账号最多可以添加500个合规规则。 仅被资源记录器收集的资源可参与资源评估，为保证资源合规规则的评估结果符合预期，强烈建议您保持资源记录器的开启状态，不同场景的说明如下： 如您从未开启过资源记录器，则资源合规规则无法评估任何资源数据。 如您已开启资源记录器，但仅在资源记录器监控范围内勾选部分资源，则资源合规规则仅会评估所选择的资源数据。 如您开启资源记录器并勾选全部资源，但后续又关闭资源记录器，则资源合规规则仅会评估资源记录器由开启到关闭期间收集到的资源数据。 关于如何开启并配置资源记录器请参见：配置资源记录器。

操作场景 触发规则评估的方式包括自动触发和手动触发。 自动触发 新创建一个合规规则时，会触发此规则的评估任务。 合规规则更新时，会触发此规则的评估任务。 合规规则被重新启用时，会触发此规则的评估任务。 当触发类型为“配置变更”时，合规规则范围内的资源发生变更，则会将该规则应用到此资源上，进行评估。 当触发类型为“周期执行”时，系统将按照您设定的频率，触发此规则的评估任务。 手动触发 如果您想立即使用已有合规规则进行规则评估，可随时手动触发规则评估，具体操作请参见如下步骤。 当调用“run-evaluation”接口时，会触发此合规规则的评估任务。

支持标签的云服务和资源类型 当前华为云大部分云服务资源均支持添加标签，但部分云服务资源（如OBS桶）的标签信息暂未上传至Config服务，因此无法在Config服务中使用标签相关的能力，例如无法在“资源清单”页面通过标签搜索到相应资源，或无法使用涉及标签场景的资源合规规则等。 当前已对接Config且支持标签的云服务和资源类型如下表所示： 表1 支持标签的云服务和资源类型 服务 资源类型 VPC终端节点 VPCEP 终端节点（vpcep.endpoints） 终端节点服务（vpcep.endpointServices） 数据复制服务 DRS 实时同步任务（drs.synchronizationJob） 实时迁移任务（drs.migrationJob） 实时灾备任务（drs.dataGuardJob） 数据订阅任务（drs.subscriptionJob） 备份迁移任务（drs.backupMigrationJob） 裸金属服务器 BMS 实例（bms.servers） 弹性云服务器 ECS 云服务器（ecs.cloudservers） 云耀云服务器 HECS 实例（hecs.hcloudservers） 虚拟私有云 VPC 虚拟私有云（vpc.vpcs） 弹性公网IP（vpc.publicips） 云硬盘 EVS 磁盘（evs.volumes） 弹性伸缩 AS 弹性伸缩组（as.scalingGroups） 镜像服务 IMS 镜像（ims.images） 分布式缓存服务 DCS Redis实例（dcs.redis） 节点（dcs.node） 云解析服务 DNS 公网Zone（dns.publiczones） 内网Zone（dns.privatezones） 虚拟专用网络 VPN VPN连接（vpnaas.vpnConnections） VPN网关（vpnaas.vpnGateways） 弹性文件服务 SFS SFS Turbo（sfsturbo.shares） 弹性负载均衡 ELB 负载均衡器（elb.loadbalancers） 监听器（elb.listeners） 消息通知服务 SMN 主题（smn.topic） 分布式消息服务 DMS Kafka实例（dms.kafkas） Kafka节点（dms.kafka_nodes） RabbitMQ实例（dms.rabbitmqs） Rabbitmq节点（dms.rabbitmq_nodes） RocketMQ实例（dms.reliabilitys） 云数据库 RDS 实例（rds.instances） 节点（rds.nodes） MapReduce服务 MRS 弹性大数据服务（mrs.mrs） 数据仓库服务 DWS 集群（dws.clusters） 文档数据库服务 DDS 实例（dds.instances） 节点（dds.nodes） 云搜索服务 CSS 集群（css.clusters） NAT网关 NAT 公网NAT网关（nat.natGateways） 私网NAT网关（nat.privateNatGateways） 云备份 CBR 存储库（cbr.vault） 数据加密服务 DEW 密钥（kms.keys） 云容器引擎 CCE 集群（cce.clusters） 云数据库 GaussDB 实例（gaussdb.instance） 节点（gaussdb.nodes） 数据库安全服务 DBSS 实例（dbss.cloudservers） 内容分发网络 CDN 域名（cdn.domains） 云专线 DC 虚拟网关（dcaas.vgw） 链路聚合组（dcaas.lag） 虚拟接口（dcaas.vif） 物理连接（dcaas.directConnect） 数据库和应用迁移 UGO 对象评估任务（ugo.evaluationJob） 对象迁移任务（ugo.migrationJob） DDoS高防服务 AAD 实例（aad.instances） 云连接 CC 云连接（ccaas.cloud-connections） 带宽包（ccaas.bandwidth-packages） 云原生DDoS防护 CNAD 实例（cnad.instances） 企业路由器 ER 实例（er.instances） 连接（er.attachments） 云日志服务 LTS 日志流（lts.topics） 设备接入 IoTDA 设备接入基础版（iotda.iotda） 设备接入企业版（iotda.iotda_instance） 设备接入标准版（iotda.iotda_standardinstance） 全球加速 GA 加速器实例（ga.accelerators） 开天集成工作台 MSSI 流（mssi.flow） 云堡垒机 CBH 云堡垒机实例（cbh.instance） 云防火墙 CFW 云防火墙实例（cfw.cfw_instance） 云监控服务 CES 告警规则（ces.alarms） API网关 APIG APIG专享版实例（apig.instances） 函数工作流 FunctionGraph 函数（fgs.functions） 分布式数据库中间件 DDM 实例（ddm.instances） 节点（ddm.nodes） 湖仓构建 LakeFormation 实例（lakeformation.instance） 区块链服务 BCS 华为云链（bcs.huaweicloudchain） 产品数字化协同平台云服务 CraftArtsIPDCenter 产品数字化协同服务（ipdcenter.envs） 工业数字模型驱动引擎 iDME 数字化制造基础服务（idme.mbm） 数据建模引擎运行服务（idme.runtime） 云凭据管理服务 CSMS 凭据（csms.secrets） 工业仿真工具链云服务 CraftArtsSIM 工业仿真云平台（craftartssim.simSpace） 仿真求解计算（craftartssim.cpuUnit） 仿真前后处理计算（craftartssim.guiUnit） 私有证书管理 PCA 私有CA（pca.ca） 私有证书（pca.cert） 专属分布式存储服务 DSS 存储池（dss.dsspools） 专属主机 DeH 专属主机（deh.dedicatedhosts） 访问分析 AccessAnalyzer 访问分析器（accessanalyzer.analyzer） 父主题： 附录

规则详情 表1 规则详情 参数 说明 规则名称 resource-tag-key-prefix-suffix 规则展示名 资源具有指定前后缀的标签键 规则描述 指定标签键的前缀和后缀，资源不具有任意匹配前后缀的标签键，视为“不合规”。 标签 tag 规则触发方式 配置变更 规则评估的资源类型 支持标签的云服务和资源类型 规则参数 tagKeyPrefix：允许的标签键前缀，空字符串表示全部允许。 tagKeySuffix：允许的标签键后缀，空字符串表示全部允许。

计费说明 如果您配置了资源记录器，那么资源记录器使用的消息通知服务（SMN）或对象存储服务（OBS）可能会产生相应的费用，具体请参见SMN计费说明和OBS计费说明。 如果您配置了自定义合规规则，那么自定义合规规则使用的函数工作流（FunctionGraph）可能会产生相应的费用，具体请参见FunctionGraph计费说明。 配置审计服务商用后会按资源记录器记录的资源变化次数，合规规则的执行次数收费。 配置审计服务在2024年会继续免费，后续存在收费可能，如果后续启动收费，我们会提前通知您。